STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
分子实验室 https://molecule-labs.com/
NO.1 镜像劫持
映像劫持的定义:
所谓的映像劫持(IFEO)就是Image File Execution Options/或字面直译 Image Hijack
劫持点1 Image File Execution Options镜像劫持
位于注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options里面exe被进行修改进行重定向的一个过程
劫持点2 userinit镜像劫持
参考:
https://blog.csdn.net/u013761036/article/details/53527490
通过了解劫持过程可以知道这个劫持点利用的是windows系统服务启动用户初始化加载程序配置替换或插入自定义程序造成劫持
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonuserinit.exe
这里阅读下userinit的官方释义(https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc939862(v=technet.10)?redirectedfrom=MSDN)可知,userinit.exe的作用为:
1、运行系统登录脚本
2、重新建立网络连接
3、当userinit.exe所指向的程序无法运行的时候,启动配置的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonshell中设定的值,默认是explorer.exe
这里有个提示:
在修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonuserinit.exe的时候,应包含userinit.exe
但我们去掉c:windowssystem32userinit.exe,重启则会引起异常,所以这里一般都还会带上userinit.exe或者包含启动userinit.exe的脚本。通过运行启动userinit进入系统即可。
劫持点3 shell镜像劫持
NO.2 镜像劫持检查
针对IFEO劫持点检查
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 对注册表进行检查,检查不一致的项目即可判断是否存在劫持。
这里查看IFEO的值,我们直接一句话全读,然后一次审核每一项即可。通过阅读reg query语法
(https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc742028(v=ws.11))可知/s递归查询,/t REG_SZ指定字符。
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /t REG_SZ
针对userinit和shell劫持点检查
这里由于userinit劫持点位于HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon根目录的属性中,因此不需要/s递归。
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /t REG_SZ
RECRUITMENT
招聘启事
END
长按识别二维码关注我们
本文始发于微信公众号(雷神众测):关键证据检索提取-镜像劫持
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论